使用 kubeadm 创建高可用集群
本页面介绍两种使用 kubeadm 设置高可用 Kubernetes 集群的方法。
- 使用堆叠式控制平面节点。这种方法所需的基础设施较少。etcd 成员和控制平面节点位于同一位置。
- 使用外部 etcd 集群。这种方法所需的基础设施较多。控制平面节点和 etcd 成员是分离的。
在继续之前,您应该仔细考虑哪种方法最能满足您的应用程序和环境需求。高可用拓扑选项概述了每种方法的优缺点。
如果在设置高可用集群时遇到问题,请在 kubeadm 问题跟踪器中报告。
另请参阅升级文档。
注意
本页面不涉及在云提供商上运行集群。在云环境中,此处介绍的两种方法都不适用于类型为 LoadBalancer 的 Service 对象,或动态 PersistentVolumes。准备工作
前提条件取决于您为集群控制平面选择的拓扑
您需要
- 三台或更多满足 kubeadm 最低要求的控制平面节点机器。拥有奇数个控制平面节点有助于在机器或区域故障时进行领导者选举。
- 包括一个已设置并运行的容器运行时
- 三台或更多满足 kubeadm 最低要求的 worker 节点机器
- 包括一个已设置并运行的容器运行时
- 集群中所有机器之间的完整网络连接(公共或私有网络)
- 所有使用
sudo
的机器上的超级用户权限- 您可以使用不同的工具;本指南在示例中使用
sudo
。
- 您可以使用不同的工具;本指南在示例中使用
- 从一台设备到系统中所有节点的 SSH 访问
- 所有机器上已安装
kubeadm
和kubelet
。
请参阅堆叠式 etcd 拓扑以了解上下文。
您需要
- 三台或更多满足 kubeadm 最低要求的控制平面节点机器。拥有奇数个控制平面节点有助于在机器或区域故障时进行领导者选举。
- 包括一个已设置并运行的容器运行时
- 三台或更多满足 kubeadm 最低要求的 worker 节点机器
- 包括一个已设置并运行的容器运行时
- 集群中所有机器之间的完整网络连接(公共或私有网络)
- 所有使用
sudo
的机器上的超级用户权限- 您可以使用不同的工具;本指南在示例中使用
sudo
。
- 您可以使用不同的工具;本指南在示例中使用
- 从一台设备到系统中所有节点的 SSH 访问
- 所有机器上已安装
kubeadm
和kubelet
。
您还需要
- 三台或更多额外的机器,它们将成为 etcd 集群成员。etcd 集群中拥有奇数个成员是实现最佳投票仲裁的要求。
- 这些机器同样需要安装
kubeadm
和kubelet
。 - 这些机器还需要一个已设置并运行的容器运行时。
- 这些机器同样需要安装
请参阅外部 etcd 拓扑以了解上下文。
容器镜像
每个主机都应该能够访问并从 Kubernetes 容器镜像仓库 registry.k8s.io
拉取镜像。如果你想部署一个主机无法拉取镜像的高可用集群,这是可能的。你必须通过其他方式确保相关的容器镜像已在相关主机上可用。
命令行界面
设置集群后,为了管理 Kubernetes,您应该在您的 PC 上安装 kubectl。在每个控制平面节点上安装 kubectl
工具也很有用,因为这有助于故障排除。
两种方法的首要步骤
为 kube-apiserver 创建负载均衡器
注意
负载均衡器有许多配置。以下示例只是一种选择。您的集群要求可能需要不同的配置。创建一个 kube-apiserver 负载均衡器,其名称可解析为 DNS。
在云环境中,您应该将控制平面节点放置在 TCP 转发负载均衡器后面。此负载均衡器将流量分发到其目标列表中所有健康的控制平面节点。apiserver 的健康检查是对 kube-apiserver 监听的端口(默认值
:6443
)进行 TCP 检查。不建议在云环境中使用 IP 地址。
负载均衡器必须能够通过 apiserver 端口与所有控制平面节点通信。它还必须允许在其监听端口上接收传入流量。
确保负载均衡器的地址始终与 kubeadm 的
ControlPlaneEndpoint
地址匹配。阅读软件负载均衡选项指南以获取更多详细信息。
将第一个控制平面节点添加到负载均衡器,并测试连接
nc -zv -w 2 <LOAD_BALANCER_IP> <PORT>
连接被拒绝是预期的,因为 API 服务器尚未运行。但是,超时意味着负载均衡器无法与控制平面节点通信。如果发生超时,请重新配置负载均衡器以与控制平面节点通信。
将剩余的控制平面节点添加到负载均衡器目标组。
堆叠式控制平面和 etcd 节点
第一个控制平面节点的步骤
初始化控制平面
sudo kubeadm init --control-plane-endpoint "LOAD_BALANCER_DNS:LOAD_BALANCER_PORT" --upload-certs
您可以使用
--kubernetes-version
标志设置要使用的 Kubernetes 版本。建议 kubeadm、kubelet、kubectl 和 Kubernetes 的版本保持一致。--control-plane-endpoint
标志应设置为负载均衡器的地址或 DNS 和端口。--upload-certs
标志用于将应在所有控制平面实例之间共享的证书上传到集群。如果您希望手动或使用自动化工具在控制平面节点之间复制证书,请删除此标志并参考下面的手动证书分发部分。
注意
kubeadm init
标志--config
和--certificate-key
不能混合使用,因此,如果您想使用 kubeadm 配置,则必须在适当的配置位置(在InitConfiguration
和JoinConfiguration: controlPlane
下)添加certificateKey
字段。注意
一些 CNI 网络插件需要额外的配置,例如指定 Pod IP CIDR,而另一些则不需要。请参阅 CNI 网络文档。要添加 Pod CIDR,请传递--pod-network-cidr
标志,或者如果您使用 kubeadm 配置文件,请在ClusterConfiguration
的networking
对象下设置podSubnet
字段。输出类似于
... You can now join any number of control-plane node by running the following command on each as a root: kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866 --control-plane --certificate-key f8902e114ef118304e561c3ecd4d0b543adc226b7a07f675f56564185ffe0c07 Please note that the certificate-key gives access to cluster sensitive data, keep it secret! As a safeguard, uploaded-certs will be deleted in two hours; If necessary, you can use kubeadm init phase upload-certs to reload certs afterward. Then you can join any number of worker nodes by running the following on each as root: kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866
将此输出复制到文本文件。稍后您将需要它来将控制平面和工作节点加入集群。
当
kubeadm init
与--upload-certs
一起使用时,主控制平面证书被加密并上传到kubeadm-certs
Secret 中。要重新上传证书并生成新的解密密钥,请在已加入集群的控制平面节点上使用以下命令
sudo kubeadm init phase upload-certs --upload-certs
您还可以在
init
期间指定一个自定义--certificate-key
,该密钥稍后可由join
使用。要生成此类密钥,您可以使用以下命令kubeadm certs certificate-key
证书密钥是十六进制编码的字符串,是一个大小为 32 字节的 AES 密钥。
注意
kubeadm-certs
Secret 和解密密钥在两小时后过期。注意
正如命令输出所述,证书密钥允许访问集群敏感数据,请保密!应用您选择的 CNI 插件:按照这些说明安装 CNI 提供商。确保配置与 kubeadm 配置文件中指定的 Pod CIDR(如果适用)相对应。
注意
您必须选择一个适合您用例的网络插件并在进入下一步之前部署它。如果您不这样做,将无法正确启动集群。输入以下命令,观察控制平面组件的 Pod 启动
kubectl get pod -n kube-system -w
其余控制平面节点的步骤
对于每个额外的控制平面节点,您应该
执行之前在第一个节点上由
kubeadm init
输出给出的加入命令。它应该看起来像这样sudo kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866 --control-plane --certificate-key f8902e114ef118304e561c3ecd4d0b543adc226b7a07f675f56564185ffe0c07
--control-plane
标志告诉kubeadm join
创建一个新的控制平面。--certificate-key ...
将导致控制平面证书从集群中的kubeadm-certs
Secret 下载,并使用给定的密钥解密。
您可以并行加入多个控制平面节点。
外部 etcd 节点
使用外部 etcd 节点设置集群与堆叠式 etcd 的过程类似,不同之处在于您应该首先设置 etcd,并且应该在 kubeadm 配置文件中传递 etcd 信息。
设置 etcd 集群
按照这些说明设置 etcd 集群。
按照此处所述设置 SSH。
将以下文件从集群中的任何 etcd 节点复制到第一个控制平面节点
export CONTROL_PLANE="ubuntu@10.0.0.7" scp /etc/kubernetes/pki/etcd/ca.crt "${CONTROL_PLANE}": scp /etc/kubernetes/pki/apiserver-etcd-client.crt "${CONTROL_PLANE}": scp /etc/kubernetes/pki/apiserver-etcd-client.key "${CONTROL_PLANE}":
- 将
CONTROL_PLANE
的值替换为第一个控制平面节点的user@host
。
- 将
设置第一个控制平面节点
创建一个名为
kubeadm-config.yaml
的文件,其内容如下--- apiVersion: kubeadm.k8s.io/v1beta4 kind: ClusterConfiguration kubernetesVersion: stable controlPlaneEndpoint: "LOAD_BALANCER_DNS:LOAD_BALANCER_PORT" # change this (see below) etcd: external: endpoints: - https://ETCD_0_IP:2379 # change ETCD_0_IP appropriately - https://ETCD_1_IP:2379 # change ETCD_1_IP appropriately - https://ETCD_2_IP:2379 # change ETCD_2_IP appropriately caFile: /etc/kubernetes/pki/etcd/ca.crt certFile: /etc/kubernetes/pki/apiserver-etcd-client.crt keyFile: /etc/kubernetes/pki/apiserver-etcd-client.key
注意
堆叠式 etcd 和外部 etcd 的区别在于,外部 etcd 设置需要一个配置文件,其中在etcd
的external
对象下包含 etcd 端点。在堆叠式 etcd 拓扑的情况下,这会自动管理。将配置模板中的以下变量替换为集群的适当值
LOAD_BALANCER_DNS
LOAD_BALANCER_PORT
ETCD_0_IP
ETCD_1_IP
ETCD_2_IP
以下步骤与堆叠式 etcd 设置类似
在此节点上运行
sudo kubeadm init --config kubeadm-config.yaml --upload-certs
。将返回的输出加入命令写入文本文件以备后用。
应用您选择的 CNI 插件。
注意
您必须选择一个适合您用例的网络插件并在进入下一步之前部署它。如果您不这样做,将无法正确启动集群。
其余控制平面节点的步骤
这些步骤与堆叠式 etcd 设置相同
- 确保第一个控制平面节点完全初始化。
- 使用您保存到文本文件中的 join 命令加入每个控制平面节点。建议一次加入一个控制平面节点。
- 别忘了
--certificate-key
的解密密钥默认在两小时后过期。
引导控制平面后的常见任务
安装 worker 节点
工作节点可以使用您之前作为 kubeadm init
命令的输出存储的命令加入集群
sudo kubeadm join 192.168.0.200:6443 --token 9vr73a.a8uxyaju799qwdjv --discovery-token-ca-cert-hash sha256:7c2e69131a36ae2a042a339b33381c6d0d43887e2de83720eff5359e26aec866
手动证书分发
如果您选择不使用带有 --upload-certs
标志的 kubeadm init
,这意味着您将不得不手动将证书从主控制平面节点复制到加入的控制平面节点。
有很多方法可以做到这一点。以下示例使用 ssh
和 scp
如果您想从一台机器控制所有节点,则需要 SSH。
在您的主设备上启用 ssh-agent,该设备可以访问系统中所有其他节点
eval $(ssh-agent)
将您的 SSH 身份添加到会话中
ssh-add ~/.ssh/path_to_private_key
在节点之间进行 SSH 以检查连接是否正常工作。
当您 SSH 到任何节点时,添加
-A
标志。此标志允许您通过 SSH 登录的节点访问您 PC 上的 SSH 代理。如果您不完全信任节点上用户会话的安全性,请考虑其他方法。ssh -A 10.0.0.7
在任何节点上使用 sudo 时,请确保保留环境,以便 SSH 转发正常工作
sudo -E -s
在所有节点上配置 SSH 后,您应该在运行
kubeadm init
后在第一个控制平面节点上运行以下脚本。此脚本会将证书从第一个控制平面节点复制到其他控制平面节点在以下示例中,将
CONTROL_PLANE_IPS
替换为其他控制平面节点的 IP 地址。USER=ubuntu # customizable CONTROL_PLANE_IPS="10.0.0.7 10.0.0.8" for host in ${CONTROL_PLANE_IPS}; do scp /etc/kubernetes/pki/ca.crt "${USER}"@$host: scp /etc/kubernetes/pki/ca.key "${USER}"@$host: scp /etc/kubernetes/pki/sa.key "${USER}"@$host: scp /etc/kubernetes/pki/sa.pub "${USER}"@$host: scp /etc/kubernetes/pki/front-proxy-ca.crt "${USER}"@$host: scp /etc/kubernetes/pki/front-proxy-ca.key "${USER}"@$host: scp /etc/kubernetes/pki/etcd/ca.crt "${USER}"@$host:etcd-ca.crt # Skip the next line if you are using external etcd scp /etc/kubernetes/pki/etcd/ca.key "${USER}"@$host:etcd-ca.key done
注意
仅复制上述列表中的证书。kubeadm 将负责为加入的控制平面实例生成其余证书,并附带所需的 SAN。如果您错误地复制了所有证书,可能会因缺少所需的 SAN 而导致其他节点的创建失败。然后,在每个加入的控制平面节点上,您必须在运行
kubeadm join
之前运行以下脚本。此脚本会将之前从主目录复制的证书移动到/etc/kubernetes/pki
USER=ubuntu # customizable mkdir -p /etc/kubernetes/pki/etcd mv /home/${USER}/ca.crt /etc/kubernetes/pki/ mv /home/${USER}/ca.key /etc/kubernetes/pki/ mv /home/${USER}/sa.pub /etc/kubernetes/pki/ mv /home/${USER}/sa.key /etc/kubernetes/pki/ mv /home/${USER}/front-proxy-ca.crt /etc/kubernetes/pki/ mv /home/${USER}/front-proxy-ca.key /etc/kubernetes/pki/ mv /home/${USER}/etcd-ca.crt /etc/kubernetes/pki/etcd/ca.crt # Skip the next line if you are using external etcd mv /home/${USER}/etcd-ca.key /etc/kubernetes/pki/etcd/ca.key